Nutzt man ein NAS, dann stolpert man zwangsläufig über die Namen Synology und QNAP. Letztgenannter Hersteller hat am 1. November ein Security Advisory veröffentlicht, weil wohl eine aktiv ausgenutzte Lücke Grund zur Sorge bereitet. Laut Berichten wird die Malware QSnatch gegen die NAS-Geräte eingesetzt. Das National Cyber Security Center Finland (NCSC-FI) hat Mitte Oktober über den Autoreporter-Dienst Berichte über infizierte Geräte erhalten, die versuchen, mit bestimmten Command and Control (C2)-Servern zu kommunizieren.
Nutzer von QNAP-Geräten sollten, sofern verfügbar, aktuelle Firmware für ihr NAS einspielen. Ansonsten sollte man vermeiden, die Ports 443 und 8080 zum Zugriff auf das NAS zu nutzen.
Und wenn das Kind in den Brunnen gefallen ist? QNAP arbeitet derzeit an einem neuen Update für den Malware Remover und wird das Update so schnell wie möglich veröffentlichen.
- Change all passwords for all accounts on the device
- Remove unknown user accounts from the device
- Make sure the device firmware is up-to-date and all of the applications are also updated
- Remove unknown or unused applications from the device
- Install QNAP MalwareRemover application via the App Center functionality
- Set an access control list for the device (Control panel -> Security -> Security level)
Die Malware stiehlt wohl Zugangsdaten und kann unter Umständen weitere Module nachladen, um später weiteren Schaden anzurichten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab an, dass man auf Basis von Sinkhole-Daten davon ausgehe, dass bereits 7.000 Geräte in Deutschland infiziert seien.
Auf Basis von Sinkhole-Daten sind aktuell bereits ca. 7.000 NAS-Geräte in Deutschland betroffen.
Weitere Informationen von unseren Kollegen bei @CERTFI:https://t.co/DgrWKoRHS0— CERT-Bund (@certbund) October 31, 2019